亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于PKI和PMI的Web服務(wù)安全控制機(jī)制的制作方法

文檔序號(hào):7687527閱讀:210來源:國知局
專利名稱:基于PKI和PMI的Web服務(wù)安全控制機(jī)制的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及Web服務(wù)安全領(lǐng)域,是一種用于為Web服務(wù)提供身份認(rèn)證和權(quán)限控制的基 于PKI和PMI的Web服務(wù)安全控制機(jī)制。
背景技術(shù)
PKI (Public Key Infrastructure)是一種密鑰管理平臺(tái),它能夠提供加密和數(shù)字簽名等 密碼服務(wù)所需要的密鑰和證書管理。利用數(shù)字簽名技術(shù),PKI可以提供以下四種主要服務(wù): 一是認(rèn)證,向一個(gè)實(shí)體確認(rèn)另一個(gè)實(shí)體確實(shí)是他自己;二是完整性,向一個(gè)實(shí)體確保數(shù)據(jù) 沒有被有意或無意的修改;三是機(jī)密性,向一個(gè)實(shí)體確保除了接收者,無人能讀懂?dāng)?shù)據(jù)的 關(guān)鍵部分;四是不可抵賴性,向一個(gè)實(shí)體確認(rèn)該操作是另一個(gè)實(shí)體完成的。
PMI (Privilege Management Infrastructure)是一種權(quán)限控制管理平臺(tái),它基于PKI系統(tǒng) 來驗(yàn)證用戶的身份,使用屬性證書來保存用戶的訪問權(quán)限,并可以證明用戶能夠訪問什么 資源以及能夠?qū)υ撡Y源做什么操作。
Web服務(wù)(Web Service)是一種設(shè)計(jì)用來支持在網(wǎng)絡(luò)上機(jī)器與機(jī)器之間互操作的軟 件系統(tǒng)。本質(zhì)上來說,Web服務(wù)就是一套可訪問的網(wǎng)絡(luò)API,而且其調(diào)用執(zhí)行是在提供請(qǐng)求 服務(wù)的遠(yuǎn)程系統(tǒng)上。
現(xiàn)有基于HTTPS的Web服務(wù)安全解決方案,無法提供強(qiáng)健的身份認(rèn)證和權(quán)限控制, 而對(duì)于電子商務(wù)和電子政務(wù)來說,這兩點(diǎn)是必不可少的。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種基于PKI和PMI的Web服務(wù)安全控制機(jī)制, 其為Web服務(wù)調(diào)用提供了一套完整強(qiáng)健的身份認(rèn)證和權(quán)限控制系統(tǒng),保證了 Web服務(wù)調(diào) 用消息的機(jī)密性、完整性和不可否認(rèn)性。
本發(fā)明解決上述問題所采用的技術(shù)方案是該控制機(jī)制包括PKI系統(tǒng)、PMI系統(tǒng)和 Web服務(wù)安全系統(tǒng),其實(shí)現(xiàn)步驟為用戶通過PKI系統(tǒng)申請(qǐng)身份證書,再根據(jù)自己的身份 證書去PMI系統(tǒng)申請(qǐng)屬性證書,屬性證書將用戶的身份關(guān)聯(lián)到一個(gè)或多個(gè)角色上,PMI 系統(tǒng)預(yù)定義的策略證書將角色綁定到一個(gè)或多個(gè)Web服務(wù)上去,當(dāng)用戶使用Web服務(wù)時(shí), Web服務(wù)安全系統(tǒng)幫助PKI系統(tǒng)檢查身份證書的合法性,再幫助PMI系統(tǒng)檢査用戶是否有 權(quán)限調(diào)用該Web服務(wù),當(dāng)所有檢査都通過時(shí),允許用戶訪問Web服務(wù),以實(shí)現(xiàn)安全的Web 服務(wù)調(diào)用。
本發(fā)明所述的PKI系統(tǒng)為用戶提供公私密鑰管理,用戶填寫好申請(qǐng)表單,由管理員審核通過之后,用戶可下載其公私密鑰,其中的公鑰證書將上傳到Ldap服務(wù)器上;PKI系統(tǒng) 對(duì)外提供所有用戶的公鑰證書下載,并可驗(yàn)證用戶公鑰證書的合法性。
本發(fā)明所述的PMI系統(tǒng)提供資源訪問控制,首先管理員負(fù)責(zé)定義需要控制的資源和資 源類型、能夠?qū)Y源進(jìn)行的操作、不同訪問權(quán)限的角色以及策略證書,并將策略證書上傳 到Ldap服務(wù)器上;用戶拿著PKI系統(tǒng)提供的身份證書進(jìn)入PMI系統(tǒng)申請(qǐng)屬性證書,待管 理員審核通過之后,將生成相應(yīng)的屬性證書,屬性證書也將上傳到Ldap服務(wù)器上;PMI 系統(tǒng)對(duì)外提供資源訪問控制接口,參數(shù)包括用戶的身份證書、需要訪問的資源和對(duì)該資源 執(zhí)行的操作。
本發(fā)明所述Web Service安全系統(tǒng)負(fù)責(zé)Web服務(wù)調(diào)用的服務(wù)器端和客戶端的安全,根 據(jù)用戶調(diào)用的Web服務(wù),Web Service安全系統(tǒng)會(huì)幫助服務(wù)器端和客戶端互相驗(yàn)證對(duì)方的 身份,同時(shí)服務(wù)器端會(huì)根據(jù)PMI系統(tǒng)的資源訪問控制的配置情況,決定該用戶是否有權(quán)限 調(diào)用該Web服務(wù)。
本發(fā)明與現(xiàn)有技術(shù)相比,具有以下有益效果(1) Web服務(wù)在異構(gòu)的分布式的環(huán)境下, 對(duì)客戶的身份認(rèn)證比較困難,當(dāng)調(diào)用一個(gè)企業(yè)的Web服務(wù)時(shí),這個(gè)Web服務(wù)可能又會(huì)去 調(diào)用另一個(gè)企業(yè)的Web服務(wù),如何在這種跨域的環(huán)境下實(shí)現(xiàn)Web服務(wù)的身份認(rèn)證,是必 須解決的一個(gè)問題;PKI系統(tǒng)能夠使計(jì)算機(jī)用戶在無需事先協(xié)商的情況下,互相驗(yàn)證對(duì)方 的身份,為Web服務(wù)下的身份認(rèn)證提供了解決方法,該控制機(jī)制的Web服務(wù)身份認(rèn)證模 型即基于PKI完成,客戶端和服務(wù)器端都通過PKI系統(tǒng)來獲取對(duì)方的公鑰證書,通過PKI 系統(tǒng)來檢驗(yàn)公鑰證書的有效性,并通過公鑰證書來驗(yàn)證對(duì)方的身份。(2) —般的Web應(yīng)用 都需要根據(jù)不同的用戶來決定開放什么樣的資源,同樣對(duì)于Web服務(wù)來說,其提供的服務(wù) 本身就是資源,并不是所有的Web服務(wù)都能開放給所有的用戶,如企業(yè)級(jí)的Web服務(wù)可 能會(huì)分為針對(duì)付費(fèi)用戶和普通用戶兩種,并為付費(fèi)用戶提供更快的反應(yīng)速度、更高的精確 度和更多的系統(tǒng)資源,如何實(shí)現(xiàn)Web Services的權(quán)限控制就成為了必不可少的一個(gè)環(huán)節(jié); PMI系統(tǒng)是為企業(yè)級(jí)Web應(yīng)用提供了跨域的統(tǒng)一的權(quán)限控制系統(tǒng),它能夠保證權(quán)限相關(guān)信 息的完整性和不可偽造性,同時(shí)建立起多個(gè)企業(yè)之間的信任關(guān)系,方便了多企業(yè)之間的 Web應(yīng)用訪問,該控制機(jī)制的Web服務(wù)權(quán)限控制模型即基于PMI系統(tǒng)完成,在Web服務(wù) 的服務(wù)器處理SOAP請(qǐng)求消息之前,調(diào)用PMI的接口,檢査該用戶是否有權(quán)限調(diào)用該Web 服務(wù),如果有這個(gè)權(quán)限,就繼續(xù)執(zhí)行,否則直接返回錯(cuò)誤應(yīng)答消息,而無須Web服務(wù)做 任何處理。綜上,該控制機(jī)制采用基于PKI和PMI的技術(shù)為Web服務(wù)提供了強(qiáng)健的身份 認(rèn)證和訪問控制,


圖1為基于PKI系統(tǒng)進(jìn)行身份認(rèn)證的流程圖。 圖2為基于PMI系統(tǒng)進(jìn)行權(quán)限控制的流程圖。
具體實(shí)施方式
本發(fā)明的主要設(shè)計(jì)思想是通過PKI來進(jìn)行身份認(rèn)證,通過PMI來進(jìn)行權(quán)限控制,以此來實(shí)現(xiàn)安全的Web服務(wù)調(diào)用的安全。實(shí)現(xiàn)步驟為用戶通過PKI系統(tǒng)申請(qǐng)身份證書,再根據(jù)自己的身份證書去PMI系統(tǒng)申 請(qǐng)屬性證書,屬性證書將用戶的身份關(guān)聯(lián)到一個(gè)或多個(gè)角色上,PMI系統(tǒng)預(yù)定義的策略證 書將角色綁定到一個(gè)或多個(gè)Web服務(wù)上去,當(dāng)用戶使用Web服務(wù)時(shí),先去PKI系統(tǒng)檢查身 份證書的合法性,再去PMI系統(tǒng)檢査用戶是否有權(quán)限調(diào)用該Web服務(wù),當(dāng)所有檢査都通過 時(shí),允許用戶訪問Web服務(wù),以實(shí)現(xiàn)安全的Web服務(wù)調(diào)用。本控制機(jī)制包括PKI系統(tǒng),PMI系統(tǒng)和Web Service安全系統(tǒng)。 PKI系統(tǒng)為用戶提供公私密鑰管理,用戶填寫好申請(qǐng)表單,包括組織名,用戶名,有 效期限等等,由管理員審核通過之后,用戶可下載其公私密鑰,其中的公鑰證書將上傳到 Ldap服務(wù)器上。PKI系統(tǒng)對(duì)外提供所有用戶的公鑰證書下載,并可驗(yàn)證用戶公鑰證書的合 法性。PMI系統(tǒng)提供資源訪問控制,首先管理員負(fù)責(zé)定義需要控制的資源和資源類型、能夠 對(duì)資源進(jìn)行的操作、不同訪問權(quán)限的角色以及策略證書。策略證書包括什么角色能夠?qū)κ?么資源進(jìn)行什么操作,并將上傳到Ld鄰服務(wù)器上。用戶拿著PKI系統(tǒng)提供的身份證書進(jìn) 入PMI系統(tǒng)申請(qǐng)屬性證書,包括有效期限,申請(qǐng)哪些角色等等,待管理員審核通過之后, 將生成相應(yīng)的屬性證書,屬性證書也將上傳到Ldap服務(wù)器上。PMI系統(tǒng)對(duì)外提供資源訪問 控制接口,參數(shù)包括用戶的身份證書、需要訪問的資源和對(duì)該資源執(zhí)行的操作。Web Service安全系統(tǒng)負(fù)責(zé)Web服務(wù)調(diào)用的服務(wù)器端和客戶端的安全,根據(jù)用戶調(diào)用 的Web服務(wù),Web Service安全系統(tǒng)會(huì)幫助服務(wù)器端和客戶端互相驗(yàn)證對(duì)方的身份,同時(shí) 服務(wù)器端會(huì)根據(jù)PMI系統(tǒng)的資源訪問控制的配置情況,決定該用戶是否有權(quán)限調(diào)用該Web 服務(wù)。參見圖1,基于PKI系統(tǒng)進(jìn)行身份認(rèn)證的具體流程為(1) 用戶進(jìn)入PKI系統(tǒng)填寫請(qǐng)求表單,申請(qǐng)身份證書;(2) 管理員審核通過證書申請(qǐng),同時(shí)將用戶的公鑰證書上傳到Ldap服務(wù)器上;(3) 用戶進(jìn)入PKI系統(tǒng)獲取公私密鑰對(duì);(4) 用戶發(fā)送明文的S0AP請(qǐng)求消息,Web Service安全系統(tǒng)使用用戶的私鑰加密請(qǐng) 求消息,從PKI系統(tǒng)獲取服務(wù)器的公鑰證書對(duì)請(qǐng)求消息進(jìn)行簽名,并把加密和簽名過的請(qǐng) 求消息發(fā)送給服務(wù)器端;
(5) 服務(wù)器端獲取請(qǐng)求消息之后,Web Service安全系統(tǒng)先從PKI系統(tǒng)獲取用戶的公 鑰證書,對(duì)消息進(jìn)行驗(yàn)證,判斷請(qǐng)求消息是否被篡改和破壞,然后用服務(wù)器自己的私鑰對(duì) 請(qǐng)求消息進(jìn)行解密,最終獲得明文的請(qǐng)求消息;
(6) 服務(wù)器完成Web服務(wù)調(diào)用之后,返回明文的SOAP應(yīng)答消息,Web Service安全 系統(tǒng)使用服務(wù)器的私鑰加密應(yīng)答消息,使用用戶的身份證書對(duì)應(yīng)答消息進(jìn)行簽名,并把加 密和簽名過的應(yīng)答消息發(fā)送給客戶端;
(7) 客戶端收到服務(wù)器端的應(yīng)答消息之后,Web Service安全系統(tǒng)使用服務(wù)器的公鑰 證書對(duì)應(yīng)答消息進(jìn)行驗(yàn)證,判斷應(yīng)答消息是否被篡改和破壞,然后用自己的私鑰對(duì)應(yīng)答消 息進(jìn)行解密,最終獲得明文的應(yīng)答消息。
參見圖2,基于PMI系統(tǒng)進(jìn)行權(quán)限控制的具體流程為
(1) 管理員在PMI系統(tǒng)中將需要訪問控制的Web服務(wù)定義為一個(gè)資源,并為該資源 定義一張策略證書,辯明什么角色能夠?qū)υ撡Y源執(zhí)行哪些操作,并將該策略證書上傳到 Ldap服務(wù)器上;
(2) 用戶進(jìn)入PMI系統(tǒng),填寫表單,申請(qǐng)屬性證書,以表明自己需要哪些角色的權(quán)
限;
(3) 管理員負(fù)責(zé)審核用戶的申請(qǐng)信息,同時(shí)將用戶的屬性證書上傳到Ldap服務(wù)器上;
(4) 用戶發(fā)送SOAP請(qǐng)求消息到服務(wù)器端之后,Web Service安全系統(tǒng)根據(jù)用戶的身 份證書,從PMI系統(tǒng)獲取該用戶的屬性證書,同時(shí)從PMI系統(tǒng)中獲取用戶訪問的資源的策 略證書,將兩張證書進(jìn)行匹配,以決定用戶是否用權(quán)限訪問該Web服務(wù)。
權(quán)利要求
1、一種基于PKI和PMI的Web服務(wù)安全控制機(jī)制,其特征是該控制機(jī)制包括PKI系統(tǒng)、PMI系統(tǒng)和Web服務(wù)安全系統(tǒng),其實(shí)現(xiàn)步驟為用戶通過PKI系統(tǒng)申請(qǐng)身份證書,再根據(jù)自己的身份證書去PMI系統(tǒng)申請(qǐng)屬性證書,屬性證書將用戶的身份關(guān)聯(lián)到一個(gè)或多個(gè)角色上,PMI系統(tǒng)預(yù)定義的策略證書將角色綁定到一個(gè)或多個(gè)Web服務(wù)上去,當(dāng)用戶使用Web服務(wù)時(shí),Web服務(wù)安全系統(tǒng)幫助PKI系統(tǒng)檢查身份證書的合法性,再幫助PMI系統(tǒng)檢查用戶是否有權(quán)限調(diào)用該Web服務(wù),當(dāng)所有檢查都通過時(shí),允許用戶訪問Web服務(wù),以實(shí)現(xiàn)安全的Web服務(wù)調(diào)用。
2、 根據(jù)權(quán)利要求1所述的基于PKI和PMI的Web服務(wù)安全控制機(jī)制,其特征是所述的 PKI系統(tǒng)為用戶提供公私密鑰管理,用戶填寫好申請(qǐng)表單,由管理員審核通過之后,用戶可 下載其公私密鑰,其中的公鑰證書將上傳到Ldap服務(wù)器上;PKI系統(tǒng)對(duì)外提供所有用戶的公 鑰證書下載,并可驗(yàn)證用戶公鑰證書的合法性。
3、 根據(jù)權(quán)利要求l所述的基于PKI和PMI的Web服務(wù)安全控制機(jī)制,其特征是所述的 PMI系統(tǒng)提供資源訪問控制,首先管理員負(fù)責(zé)定義需要控制的資源和資源類型、能夠?qū)Y源 進(jìn)行的操作、不同訪問權(quán)限的角色以及策略證書,并將策略證書上傳到Ldap服務(wù)器上;用戶 拿著PKI系統(tǒng)提供的身份證書進(jìn)入PMI系統(tǒng)申請(qǐng)屬性證書,待管理員審核通過之后,將生成 相應(yīng)的屬性證書,屬性證書也將上傳到Ld鄰服務(wù)器上;PMI系統(tǒng)對(duì)外提供資源訪問控制接口, 參數(shù)包括用戶的身份證書、需要訪問的資源和對(duì)該資源執(zhí)行的操作。
4、 根據(jù)權(quán)利要求1所述的基于PKI和PMI的Web服務(wù)安全控制機(jī)制,其特征是所述 Web Service安全系統(tǒng)負(fù)責(zé)Web服務(wù)調(diào)用的服務(wù)器端和客戶端的安全,根據(jù)用戶調(diào)用的Web 服務(wù),Web Service安全系統(tǒng)會(huì)幫助服務(wù)器端和客戶端互相驗(yàn)證對(duì)方的身份,同時(shí)服務(wù)器端 會(huì)根據(jù)PMI系統(tǒng)的資源訪問控制的配置情況,決定該用戶是否有權(quán)限調(diào)用該Web服務(wù)。
全文摘要
本發(fā)明公開了一種基于PKI和PMI的Web服務(wù)安全控制機(jī)制。其包括PKI、PMI和Web服務(wù)安全系統(tǒng),用戶通過PKI系統(tǒng)申請(qǐng)身份證書,再根據(jù)身份證書去PMI系統(tǒng)申請(qǐng)屬性證書,屬性證書將用戶的身份關(guān)聯(lián)到一個(gè)或多個(gè)角色上,PMI系統(tǒng)預(yù)定義的策略證書將角色綁定到一個(gè)或多個(gè)Web服務(wù)上去,用戶使用Web服務(wù)時(shí),Web安全系統(tǒng)幫助PKI系統(tǒng)檢查身份證書的合法性,再幫助PMI系統(tǒng)檢查用戶是否有權(quán)限調(diào)用該Web服務(wù),當(dāng)所有檢查都通過時(shí),允許用戶訪問Web服務(wù),以實(shí)現(xiàn)安全的Web服務(wù)調(diào)用。本發(fā)明提供了一套完整強(qiáng)健的身份認(rèn)證和權(quán)限控制系統(tǒng),保證了Web服務(wù)調(diào)用消息的機(jī)密性、完整性和不可否認(rèn)性。
文檔編號(hào)H04L9/32GK101296230SQ20081006226
公開日2008年10月29日 申請(qǐng)日期2008年6月17日 優(yōu)先權(quán)日2008年6月17日
發(fā)明者健 吳, 吳朝暉, 尹建偉, 瑩 李, 鄧水光, 黃志明 申請(qǐng)人:浙江大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1